Ny destruktiv skadlig programvara som används vid cyberattacker mot Ukraina
När kriget i Ukraina fortsätter, med rapporter om den senaste förödelsen i huvudstaden Kiev och ett utegångsförbud som införts av den lokala borgmästaren, rasar striden även i cyberrymden. Säkerhetsforskare rapporterade i går att en ny stam av destruktiv skadlig programvara har upptäckts i flera ukrainska nätverk.
Den nya skadliga programvaran fungerar som en torkare, försöker inte exfiltrera data eller kryptera den som ransomware gör. Istället tar hotfulla torkarverktyg helt enkelt bort allt de kan och torkar rent utrymmet för att förhindra dataåterställning.
CaddyWiper tar bort filer, partitioner
Det nyupptäckta verktyget har döpts till CaddyWiper och beskrivs i ett Twitter-inlägg av skadlig programvara. Detta är den tredje hotfulla torkaren som har upptäckts i det vilda i Ukraina sedan starten av den militära konflikten i landet. Märkligt nog visade det sig att CaddyWipers nyttolast var helt ny och kompilerad samma dag som den användes för att attackera system i Ukraina.
En annan intressant detalj om den nyligen lanserade skadliga programvaran är att även om den förstör data och tar bort partitioner, stör den inte domänkontrollanter. Domänkontrollanter är de delar av ett nätverk som ansvarar för att hantera autentiseringsförfrågningar och komma åt domänresurserna på ett givet nätverk. Detta kan innebära att verktyget är avsett att ge sina operatörer utökad tillgång till de komprometterade systemen, tillsammans med huvuduppgiften att radera data.
CaddyWiper sprider sig till tidigare utsatta nätverk
Verktyget som missbrukades för att sprida CaddyWiper visade sig vara Microsoft Group Policy Objects eller GPOs. Men i minst ett fall av ett intrång i nätverket användes dess standard GPO för att sprida skadlig programvara. Detta i sig antyder att vilken tredje part som än driver CaddyWiper, redan hade fått obehörig åtkomst till nätverkets Active Directory-tjänster.
De två tidigare hotfulla verktyg som använts under de senaste veckorna i cyberattacker mot ukrainska mål kallades HermeticWiper och IsaacWiper. Båda verktygen hade destruktiva egenskaper men delade inte meningsfulla likheter med den senaste CaddyWiper när det kommer till kod.
Tillsammans med rapporterna om att verktyget CaddyWiper används i Ukraina skapade ytterligare en cyberattack rubriker, denna gång riktad mot det ryska oljebolaget Rosneft. Ett tyskt dotterbolag till Rosneft ska ha attackerats av det internationella hacktivistkollektivet som kallas Anonymous. Rapporter säger att 20 TB data exfiltrerades i attacken. Tyska myndigheter utreder attacken. Rosneft Deutschlands anläggningar har inte påverkats.